Nieuws
image

NCSC waarschuwt websites voor SQL Injection

maandag 13 oktober 2014, 13:24 door Redactie, 8 reacties

Het Nationaal Cyber Security Center (NCSC) waarschuwt websites voor het risico van SQL Injection, waarbij aanvallers grote hoeveelheden gegevens uit databases kunnen stelen. SQL Injection is een probleem dat sinds eind 1998 bekend is, maar nog steeds bij veel websites wordt aangetroffen.

Via SQL Injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen.

In een nieuwe factsheet geeft het NCSC aan wat websites kunnen doen als blijkt dat ze kwetsbaar voor SQL Injection zijn en succesvol zijn aangevallen. In dit geval kan besloten worden websites offline te halen om de kwetsbaarheid te verhelpen. Daarnaast worden er maatregelen beschreven die SQL Injection moeten voorkomen, door bijvoorbeeld gebruikersinvoer te normaliseren, te valideren en te filteren op ongewenste invoer.

"Zodra uw website succesvol is aangevallen, betekent dit dat informatie uit de database in handen is gekomen van kwaadwillenden. Uiteraard is het niet mogelijk dit ongedaan te maken, maar het is wel zaak om direct stappen te ondernemen om de impact van de aanval zoveel mogelijk te beperken en misbruik in de toekomst te voorkomen", aldus de factsheet.

Reacties (8)
13-10-2014, 14:07 door Wim ten Brink
Het is onbegrijpelijk dat deze kwetsbaarheid na 15 jaar nog steeds zo vaak optreedt. De ontwikkelaars van die websites moeten dan ook enorme sukkels zijn, mede omdat er genoeg technieken bestaan om dit alles te voorkomen.
13-10-2014, 14:15 door Anoniem
Door Wim ten Brink: Het is onbegrijpelijk dat deze kwetsbaarheid na 15 jaar nog steeds zo vaak optreedt. De ontwikkelaars van die websites moeten dan ook enorme sukkels zijn, mede omdat er genoeg technieken bestaan om dit alles te voorkomen.
Tja meestal gewoon PHP programmeurs die een "handboek PHP" gelezen hebben.
Daar staan de domme fouten meestal gewoon in als tips en voorbeelden.

In feite is iedere taal die niet standaard werkt met "prepared statements" bagger. Dat geldt niet alleen voor PHP maar
ook voor Visual Basic enzo.
13-10-2014, 14:26 door Anoniem
Het is prima te begrijpen. De computer is namelijk een zeer complex apparaat. Om in te kunnen schatten of iemand de juiste kennis heeft om goede en veilige applicaties te kunnen bouwen dien je zelf ook over de nodige kennis te beschikken. Dat is voor de gemiddelde recruiter en P&O medewerker niet te doen. Ook managers beseffen zich te weinig dat hun medewerkers de nodige beveiligingskennis niet hebben of weten het wel, maar doen er bewust niks aan. Goede bijscholing op dat vlak is namelijk niet goedkoop. En vaak is er ook geen tijd voor vanwege allerlei projecten met deadlines.

Bij ICT-opleidingen wordt hier ook veel te weinig aandacht aan besteed. Het besef wat een hacker allemaal kan en hoe deze te werk gaat is bij de gemiddelde IT-er onvoldoende aanwezig. Zo is er tijdens mijn technische informatica opleiding aan de TU Delft veel te weinig aandacht besteed aan IT-beveiliging.
13-10-2014, 15:19 door Anoniem
In feite is iedere taal die niet standaard werkt met "prepared statements" bagger. Dat geldt niet alleen voor PHP maar
ook voor Visual Basic enzo.
PHP heeft gewoon ondersteuning voor prepared statements, geen enkel probleem, zie de handleiding. Alleen dan moet je het wel gebruiken... En daar zit vaak het probleem omdat programmeurs geen flauw idee hebben hoe je op een veilige manier met een database kunt werken.

Gevalletje onkunde. En daar gaat geen enkele programmeertaal iets aan veranderen.
13-10-2014, 15:25 door Anoniem
"De ontwikkelaars van die websites moeten dan ook enorme sukkels zijn, mede omdat er genoeg technieken bestaan om dit alles te voorkomen."

Of ze zijn simpelweg jong en onervaren - omdat de werkgever graag een zo laag mogelijk uurtarief hanteert. Overigens lijkt het mij de verantwoording van de werkgever om na te gaan of ontwikkelaars hun werk goed hebben gedaan, bijvoorbeeld d.m.v. een audit/pentest.
13-10-2014, 16:03 door Anoniem
Jammer dat ze alleen iets roepen voor als het al te laat is...
13-10-2014, 21:07 door Kakhark01
door bijvoorbeeld gebruikersinvoer te normaliseren = te valideren en te filteren op ongewenste invoer
... hoe moeilijk is het ? Iemand die deze discipline niet wenst op te brengen dient gestraft te worden op basis van het schenden van de Wet bescherming persoonsgegevens. De verantwoordelijk voor het waarborgen van veiligheid van gegevens van vele personen wordt daarmee volkomen genegeerd.
14-10-2014, 16:31 door Anoniem
Invoer sanitatie is misschien wel een van de meest uitgekauwde onderwerpen waar elke ontwikkelaar zich van bewust zou moeten zijn. Helaas inderdaad... "zou moeten zijn".
Ik moet toegeven... op de browser kant van websites gaat het ook wel steeds beter is mijn idee. Maar tegenwoordig schieten de webservices en api's als paddenstoelen uit de grond. Niet alleen voor AJAX achtige oplossingen maar ook om de apps op mobiele devices te kunnen bedienen. En daar is echt nog heel erg veel te winnen.
Of voor een pentester.... nog een hoop eer te halen. :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure